Google публикува код за непокрита уязвимост в Windows

10
1912

Project Zero и Google решиха да застрашат за пореден път сигурността на потребителите на Windows, публикувайки подробности за непокрита уязвимост в платформата, свързана с браузъра Edge. Припомняме, че това е четвъртият случай за последните осем години.

Този път става въпрос за уязвимост, която, ако бъде експлоатирана успешно, биват преодолявани защитните механизми на браузъра, насочени към защитата срещу атаки с експлойти за уязвимости – Arbitrary Code Guard (ACG). Технологията беше въведена с Windows 10 Creators Update и целта ѝ е да спира атаки, които се опитват да зареждат зловреден код в паметта. Системата се грижи за това единствено подписан код да достига паметта. Оказва се обаче, както и посочват от Microsoft, JIT (Just-in-Time) компилаторите, които се ползват в модерните браузъри създават проблем за ACG. Те преобразуват JavaScript кода в машинен код, който понякога не е подписан и се зарежда с процеса, свързан с него. За да се справят с проблема, Microsoft отделят JIT компилирането в Edge, в отделен процес, който върви в изолирана среда.

Project Zero са открили обаче начин как да подлъжат защитния механизъм и са уведомили Microsoft през ноември, предупреждавайки ги, че след изтичането на стандартния период от 90 дни за запушване на дупката, ще публикуват код, валидиращ наличието на уязвимостта – което и направили. ZDNet предава, че Microsoft са признали за наличието на проблема, но се е оказало, че издаването на решение за него ще им отнеме по-дълго от очакваното време. Очаква се да бъде издадена кръпка към него в мартенския Patch Tuesday.

10
ДОБАВИ КОМЕНТАР

avatar
4 Коментари
6 Отговори на коментарите
2 Последователи
 
Коментарът с най-много реакции
Най-горещя коментар
10 Автори на коментарите
OOOdoktor4e_toАз ве азДъмбецаКоментар Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
Google Fanboy
Google Fanboy

Браво, смачкайте микромеките.

W10
W10

Смачкайте трола!

Коментар
Коментар

вместо да измислят всякакви мал*умни и неприложими „нововъведения“ всеки месец, да вземат да си запушат дупките в бъгливия продукт.

Радо
Радо

Има много други браузъри. Аз лично винаги съм бил с Firefox, който преди няколко месеца смених с WaterFox, след като скапаха Firefox и не работят старите add-ons.

mathur
mathur

Тея що не си гледат скапаната андробъгова система???

TGR
TGR

Дай си тел. Номер или някой друг начин за комуникация, да ти пратя едно съобщение от андроид бъгавата ми система на iSitOS-a , за да ти отговоря

Дъмбеца
Дъмбеца

До колкото съм наясно, и тествал (имам и iOS и Android) същото съобщение успяваше да забави стабилно и доста Android-и, така, че без излишни нападки.

doktor4e_to
doktor4e_to

Старо е това 😂

Аз ве аз
Аз ве аз

Имаш ли гугълски телефон, щом си мислиш, че е бъгава?

OOO
OOO

„Project Zero и Google решиха да застрашат за пореден път сигурността на потребителите на Windows“ – Обратното е!
По този начин Google притискат Microsoft вече да си оправят бъга, за който е съобщено на Microsoft още през ноември. Оставяйки го неоправен 4 месеца – Microsoft излагат потребителите си на опасност а не Google.

Слаб (2) на автора който явно не е много умен.